MPLS/VPN網路中的路由洩漏

簡介

本文檔提供在MPLS/VPN環境中路由洩漏的配置示例。

必要條件

需求

本文件沒有特定需求。

採用元件

本文件所述內容不限於特定軟體和硬體版本。

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路正在作用，請確保您已瞭解任何指令可能造成的影響。

慣例

如需文件慣例的詳細資訊，請參閱思科技術提示慣例。

設定

本節包含這兩個配置示例：

• 從全域性路由表到VPN路由/轉發例項(VRF)的路由洩漏，以及從VRF到全域性路由表的路由洩漏

• 不同VRF之間的路由洩漏

注意：要查詢有關本文檔中命令的其他資訊，請使用命令查詢工具(僅限註冊客戶)。

從全域性路由表到VRF的路由洩漏和從VRF到全域性路由表的路由洩漏

此配置描述從全域性路由表到VRF的路由洩漏和從VRF到全域性路由表的路由洩漏。

網路圖表

此配置使用以下網路設定：

組態

在此範例中，系統會從全域路由表存取位於VRF中的網路管理系統(NMS)站。提供商邊緣(PE)路由器和提供商(P)路由器必須將netflow資訊匯出到VRF中的NMS站(10.0.2.2)。可通過PE-4上的VRF介面訪問10.0.2.2。

要從全域性表訪問10.0.2.0/30,PE-4上引入了指向VRF介面的10.0.2.0/30靜態路由。然後，通過內部網關協定(IGP)將此靜態路由重新分發到所有PE和P路由器。這可確保所有PE和P路由器都可以通過PE-4到達10.0.2.0/30。

還新增了靜態VRF路由。靜態VRF路由指向將流量傳送到此NMS工作站的全域性網路中的子網。如果不新增此項，PE-4將丟棄在VRF介面上接收的來自NMS站的流量；然後PE-4傳送ICMP:主機無法連接的rcv消息傳送到NMS工作站。

本節使用以下設定：

• PE-4

!
ip cef
!
ip vrf vpn2
rd 200:1
route-target export 200:1
route-target import 200:1
!
interface Serial1/0
ip address 10.1.2.5 255.255.255.252
no ip directed-broadcast
!
interface Serial2/0
ip vrf forwarding vpn2
ip address 10.0.2.1 255.255.255.0
no ip directed-broadcast
!
ip classless
ip route 10.0.2.0 255.255.255.252 Serial2/0
ip route vrf vpn2 10.1.2.4 255.255.255.252 Serial1/0
!

現在，靜態路由可以重新分發到任意IGP中，以便在網路範圍內進行通告。如果VRF介面是LAN介面（例如乙太網），則同樣適用。 確切的配置命令如下：

ip route 10.0.2.0 255.255.255.252 Ethernet2/0 10.0.2.2

注意：在介面名稱之後配置的IP地址僅由地址解析協定(ARP)使用，用於瞭解要解析的地址。

注意：對於4500系列交換機，必須在VRF表中為相應的下一跳地址配置靜態ARP條目。

注意：預設情況下，Cisco IOS®軟體接受所配置的靜態VRF路由。這可能會危害安全性，因為它可能導致不同VRF之間的路由洩漏。您可以使用no ip route static inter-vrf命令阻止安裝此類靜態VRF路由。有關no ip route static inter-vrf 命令的詳細資訊，請參閱MPLS虛擬專用網路(VPN)。

驗證

本節提供的資訊用於確認您的組態是否正常運作。

輸出直譯器工具(僅供註冊客戶使用)支援某些show命令，此工具可讓您檢視show命令輸出的分析。

• show ip route 10.0.2.0 — 顯示指定的IP地址路由條目。

• show ip route vrf vpn2 10.1.2.4 — 顯示指定的IP地址VRF路由條目。

PE-4# show ip route 10.0.2.0

Routing entry for 10.0.2.0/30
Known via "static", distance 1, metric 0 (connected)
Routing Descriptor Blocks:
* directly connected, via Serial2/0
Route metric is 0, traffic share count is 1

PE-4# show ip route vrf vpn2 10.1.2.4

Routing entry for 10.1.2.4/30
Known via "static", distance 1, metric 0 (connected)
Redistributing via bgp 1
Advertised by bgp 1
Routing Descriptor Blocks:
* directly connected, via Serial1/0
Route metric is 0, traffic share count is 1

不同VRF之間的路由洩漏

此配置描述了不同VRF之間的路由洩漏。

網路圖表

此組態會使用以下網路圖表：

組態

您無法配置兩個靜態路由來通告VRF之間的每個字首，因為不支援此方法 — 路由器不會路由資料包。要實現VRF之間的路由洩漏，必須使用路由目標的匯入功能並在路由器上啟用邊界網關協定(BGP)。不需要BGP鄰居。

本節使用以下設定：

• PE-4

!
ip vrf vpn1
 rd 100:1
 route-target export 100:1
 route-target import 100:1
 route-target import 200:1
!
ip vrf vpn2
 rd 200:1
 route-target export 200:1
 route-target import 200:1
 route-target import 100:1
!
interface Serial1/0
 ip vrf forwarding vpn1
 ip address 10.1.2.5 255.255.255.252
 no ip directed-broadcast
!
interface Serial2/0
 ip vrf forwarding vpn2
 ip address 10.0.2.1 255.255.255.0
 no ip directed-broadcast
router bgp 1
!
address-family ipv4 vrf vpn2
 redistribute connected
 !
address-family ipv4 vrf vpn1
 redistribute connected
!

驗證

本節提供的資訊用於對組態進行疑難排解。

輸出直譯器工具(僅供註冊客戶使用)支援某些show命令，此工具可讓您檢視show命令輸出的分析。

• show ip bgp vpnv4 all — 顯示通過BGP獲知的所有VPNv4字首。

PE-4# show ip bgp vpnv4 all

BGP table version is 13, local router ID is 7.0.0.4
Status codes: s suppressed, d damped, h history, * valid,
> best, i - internal, r RIB-failure, S Stale
Origin codes: i - IGP, e - EGP, ? - incomplete

Network Next Hop Metric LocPrf Weight Path
Route Distinguisher: 100:1 (default for vrf vpn1)
*> 10.0.2.0/24 0.0.0.0 0 32768 ?
*> 10.1.2.4/30 0.0.0.0 0 32768 ?
Route Distinguisher: 200:1 (default for vrf vpn2)
*> 10.0.2.0/24 0.0.0.0 0 32768 ?
*> 10.1.2.4/30 0.0.0.0 0 32768 ?

注意：VRF之間洩漏路由的另一種方法是將PE-4路由器上的兩個乙太網介面連線在一起，並將每個乙太網介面與其中一個VRF相關聯。您還必須在VRF表中為各自的下一跳地址配置靜態ARP條目。但是，對於VRF之間的路由洩漏，這不是推薦的解決方案；前面描述的BGP技術就是推薦的解決方案。

疑難排解

目前尚無適用於此組態的具體疑難排解資訊。

相關資訊

• MPLS支援頁面
• 技術支援與檔案 — Cisco Systems

修訂記錄